Parametro de Logon y usuario estandar
Parámetros del sistema para logon de usuarios.
- login/min_password_Ing: Para especificar la longitud mínima de la contraseña. Por defecto 6 y puede tomar valores entre 1 – 40 caracteres.
- login/min_password_letters, login/min_password_lowercase, login/min_password_uppercase, login/min_password_specials: Para especificar el número de dígitos, letras (mayúsculas y minúsculas) o caracteres especiales que una contraseña pueden contener. El rango de valores es entre 1 y 40.
- login/min_password_expiration_time: Para especificar el nuero de días en los que el usuario debe cambiar su contraseña. Si se pone 0, el usuario no necesitara cambiar contraseña.
- login/password_max_idle_initial: Para indicar por cuanto tiempo una contraseña nueva (seleccionada por un administrador) permanece valida si no es utilizada. Una vez que el periodo se cumple, la contraseña no puede ser utilizada para la autentificación en el sistema.
- login/password_max_idle_productive: Para indica el máximo tiempo que una contraseña productiva (contraseña elegida por el usuario) permanece valida cuando esta no es usada. Una vez que el periodo ha caducado, la contraseña no puede ser utilizada para autentificación. El administrador de usuarios puede reactivar la contraseña mediante la asignación de una nueva contraseña inicial.
- login/min_password_diff: Para determinar el número de caracteres diferentes que una contraseña nueva debe tener, en comparación con la contraseña anterior. Este parámetro no tiene efecto cuando la contraseña del usuario es creada o reactivada.
- login/fails_to_session_end: Para configurar el número de intentos fallidos de logon, después de los cuales SAP GUI se cierra. Si el usuario quiere intentar de nuevo, deberá iniciar SAP GUI.
- login/fails_to_user_lock: Para permitir configurar el número de intentos fallidos de logon después de los cuales el usuario se bloquea en el sistema SAP. El contador de intentos fallidos se reinicia después de un intento exitoso de logon.
- login/password_history_size: Para configurar el historial entre 1 y 100. El valor propuesto por defecto se mantiene en 5.
- login/failed_user_auto_unlock = 1 Para reactivar desbloqueo automatic.
- login/disable_multi_gui_login: Este parámetro se configura con el valor 1, el usuario no puede ingresar a un cliente más de una vez, o sea con más de una sesión. Esto puede ser útil por razones de seguridad. Si el usuario trata de abrir otra sesión le aparecerán las siguientes opciones:
o Continuar con este logon y finalizar cualquier otro logon en el sistema.
o Terminar este logon.
- login/no_automatic_user_sapstar = 1 Para que el usuario SAP* no sea válido en el sistema.
Reglas generales para contraseñas que no pueden desactivarse:
- Debe ser de al menos 6 caracteres
- No debe comenzar con ? o !
- No puede ser pass
- La nueva contraseña debe diferir de la anterior al menos en 1 carácter.
La configuración que determina que los usuarios deben crear una nueva contraseña que difiera de las 5 últimas no es más mandataria. Se puede utilizar el parámetro login/password_history_size para configurar el historial entre 1 y 100. El valor propuesto por defecto se mantiene en 5.
En la tabla USR40 se pueden definir restricciones adicionales.
Un usuario bloqueado como resultado de intentos incorrectos de logon no son desbloqueados automáticamente por el sistema, en valor por defecto desde la versión SAP Netweaver 7.0. Este desbloqueo automático se puede reactivar con el parámetro login/failed_user_auto_unlock = 1.
El administrador puede desbloquear, bloquear o asignar una nueva contraseña a los usuarios desde la transacción SU01, mantenimiento de usuarios.
Existen dos tipos de usuarios:
- Usuarios creados por la instalación SAP: El cliente 000 y el 066 (el 001 no siempre es creado durante la instalación. Es creado por ejemplo durante la instalación de un sistema ERP 6.0)
- Usuarios creados durante la copia de un cliente.
Los usuarios estándar son predefinidos en los clientes. Como el nombre de usuario y su contraseña son estándar pueden ser conocidos por otras personas, por lo que es aconsejable que como administradores del sistema protejamos estos usuarios de accesos no autorizados.
El usuario estándar del sistema SAP*:
SAP* es el único usuario para el cual no se requiere un registro maestro de usuario (no existe una entrada en las tablas de usuarios) ya que está definido en el kernel del sistema. SAP* tiene por default la contraseña pass y autorización de acceso irrestricto para el sistema.
Cuando instalamos un sistema SAP, se crea un registro maestro de usuario para SAP* en el cliente 000 (y 001 si existe). Durante el proceso de instalación se nos solicitara una contraseña. La instalación continuará cuando se haya ingresado la contraseña.
El registro maestro de usuario creado para el usuario SAP* desactiva las propiedades especiales de SAP*, por lo que solo las autorizaciones y contraseñas definidas en el registro maestro del usuario son aplicable ahora.
Características especiales de SAP*: Si copias un cliente, el usuario SAP* siempre está disponible. Este usuario no tiene un registro maestro de usuario y está programado en código del sistema (kernel). Para proteger el sistema contra accesos no autorizados, debemos crear un registro de usuario para este usuario estándar. Crea un usuario SAP* con autorizaciones totales en el sistema (perfil SAP_ALL). Si se borra el registro de usuario SAP* (USR02), la contraseña pass con las propiedades, vuelven a ser válidas nuevamente: el usuario tiene autorizaciones totales ya que no se realizan verificaciones de autorización para este usuario. La contraseña estándar no puede ser cambiada.
El usuario DDIC:
Usuario responsable de mantener el Diccionario ABAP (ABAP Dictionary) y la logística de Software. Cuando se instala el sistema un registro maestro de usuario se crea en el cliente 000 (y 001 si aplica) para este usuario.
Con este usuario también se nos requerirá cambiar la contraseña estándar durante la instalación. Algunas autorizaciones son predefinidas en el código del sistema para el usuario DDIC, por ejemplo que solo el usuario DDIC puede realizar un logon al sistema durante la instalación de una nueva versión (upgrade). En versiones anteriores las contraseñas que tenían por defecto los usuarios SAP* y DDIC eran 06071992 y 19920706 respectivamente. Luego era necesario modificar estas contraseñas una vez instalado el sistema.
El usuario EarlyWatch:
Este usuario se crea en el cliente 066 y tiene contraseña support. Los expertos del servicio EarlyWatch son quienes utilizan este usuario. Este usuario no debe ser borrado ni la contraseña debe ser cambiada. Solo debe ser usado para las funciones EarlyWatch: monitoreo y performance. Las autorizaciones necesarias ya son provistas durante la instalación.
¿Qué debemos tener en cuenta para proteger el sistema contra el potencial riesgo de acceso no autorizado?
Se puede desactivar el usuario SAP*, configurando el parámetro del sistema login/no_automatic_user_sapstar con el valor 1. Con este valor, el usuario SAP* no es válido en el sistema. Si el registro maestro de usuario de SAP* es borrado, el logon con la contraseña PASS no funciona.
Para restablecer el usuario SAP*, debemos cambiar el parámetro con el valor 0 y reiniciar el sistema.
Es conveniente activar el parámetro en el perfil global del sistema DEFAULT.PFL para que tenga efecto en todas las instancias del sistema (de todas formas si existiera el parámetro también en un perfil de instancia con el valor 0, este sobrescribe el que está en el perfil global)
También crear el registro maestro de usuario SAP* en todas las instancias y así asegurar que no se podrá ingresar con el usuario pass si el parámetro esta desactivado (valor 0)